Vulnerabilidades

Configuración débil en Automotive mientras VM procesa una solicitud de escucha de TEE.

El acceso inadecuado al administrador de recursos de la máquina virtual puede provocar daños en la memoria.

Las versiones del paquete asyncua anteriores a la 0.9.96 son vulnerables a la denegación de servicio (DoS), de modo que un atacante puede enviar un paquete con formato incorrecto y, como resultado, el servidor entrará en un bucle infinito y consumirá memoria excesiva.

Todas las versiones del paquete static-server son vulnerables a Directory Traversal debido a una sanitización de entrada inadecuada pasada a través de la función validPath de server.js.

Las versiones del paquete asyncua anteriores a la 0.9.96 son vulnerables a una autenticación incorrecta, por lo que es posible acceder al espacio de direcciones sin cifrado ni autenticación. **Nota:** Este problema se debe a que faltan comprobaciones de servicios que requieren una sesión activa.

Se puede explotar una vulnerabilidad de use-after-free en el componente fs/smb/client del kernel de Linux para lograr una escalada de privilegios local. En caso de un error en smb3_fs_context_parse_param, se liberó ctx->password pero el campo no se configuró en NULL, lo que podría provocar una doble liberación. Recomendamos actualizar al commit anterior e6e43b8aa7cd3c3af686caf0c2e11819a886d705.

El complemento de control deslizante de imagen de encabezado WP Responsive para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada a través del código corto 'sp_responsiveslider' en versiones hasta la 3.2.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

La vulnerabilidad de Inserción de Información Sensible en el Archivo de Registro en Hitachi Ops Center Administrator en Linux permite a los usuarios locales obtener información confidencial. Este problema afecta a Hitachi Ops Center Administrator: antes de 10.9.3-00.

La vulnerabilidad de permisos predeterminados incorrectos en Hitachi JP1/Performance Management en Windows permite la manipulación de archivos. Este problema afecta a <br /> JP1/Performance Management - Manager: desde 09-00 antes del 12-50-07;<br /> JP1/Gestión del Desempeño - Base: de 09-00 a 10-50-*; <br /> JP1/Gestión de rendimiento - Opción de agente para servidor de aplicaciones: de 11-00 antes del 11-50-16; <br /> JP1/Gestión de rendimiento - Opción de agente para aplicaciones empresariales: del 09-00 al 12-00-14; <br /> JP1/Gestión de rendimiento - Opción de agente para HiRDB: del 09-00 al 12-00-14; <br /> JP1/Gestión de rendimiento - Opción de agente para IBM Lotus Domino: del 10-00 al 11-50-16; <br /> JP1/Gestión de rendimiento - Opción de agente para Microsoft(R) Exchange Server: del 09-00 al 12-00-14; <br /> JP1/Gestión de rendimiento - Opción de agente para Microsoft(R) Internet Information Server: del 09-00 al 12-00-14; <br /> JP1/Gestión de rendimiento - Opción de agente para Microsoft(R) SQL Server: del 09-00 al 12-50-07; <br /> JP1/Gestión de Rendimiento - Opción Agente para Oracle: del 09-00 al 10-12-08; <br /> JP1/Gestión de rendimiento - Opción de agente para plataforma: del 09-00 al 50-12-07; <br /> JP1/Gestión de Desempeño - Opción de Agente para Respuesta de Servicio: del 09-00 al 11-50-16; <br /> JP1/Gestión de Rendimiento - Opción de Agente para Sistema de Transacciones: de 11-00 antes del 12-00-14; <br /> JP1/Gestión de rendimiento - Monitor remoto para Microsoft(R) SQL Server: del 09-00 al 12-50-07; <br /> JP1/Gestión de Rendimiento - Monitor Remoto para Oracle: del 09-00 al 10-12-08; <br /> JP1/Gestión de Rendimiento - Monitor Remoto para Plataforma: del 09-00 al 10-12-08; <br /> JP1/Gestión de rendimiento - Monitor remoto para máquina virtual: del 10-00 al 12-50-07; <br /> JP1/Gestión de rendimiento - Opción de agente para Domino: del 09-00 al 09-00-*; <br /> JP1/Gestión de rendimiento: opción de agente para IBM WebSphere Application Server: del 09-00 al 10-00-*; <br /> JP1/Gestión del rendimiento: opción de agente para IBM WebSphere MQ: del 09-00 al 10-00-*; <br /> JP1/Gestión de rendimiento - Opción de agente para JP1/AJS3: del 09-00 al 10-00-*; <br /> JP1/Gestión de rendimiento - Opción de agente para OpenTP1: del 09-00 al 10-00-*; <br /> JP1/Gestión de rendimiento: opción de agente para Oracle WebLogic Server: del 09-00 al 10-00-*; <br /> JP1/Gestión de rendimiento - Opción de agente para el servidor de aplicaciones uCosminexus: del 09-00 al 10-00-*; <br /> JP1/Gestión de rendimiento - Opción de agente para máquina virtual: del 09-00 al 09-01-*.

La asignación de recursos sin límites o la vulnerabilidad de limitación en los servicios comunes de Hitachi Ops Center en Linux permite DoS. Este problema afecta a los servicios comunes de Hitachi Ops Center: anteriores a 10.9.3-00.

Vulnerabilidad de path traversal en el firmware ACERA 1320 versión 01.26 y anteriores, y en el firmware ACERA 1310 versión 01.26 y anteriores permite que un atacante autenticado adyacente a la red altere información crítica, como archivos del sistema, mediante el envío de una solicitud especialmente manipulada. Se ven afectados cuando se ejecutan en modo ST (Standalone).

La vulnerabilidad de inyección de comandos del sistema operativo en dispositivos de punto de acceso de LAN inalámbrica de FURUNO SYSTEMS permite a un usuario autenticado ejecutar un comando del sistema operativo arbitrario que no está destinado a ejecutarse desde la interfaz web mediante el envío de una solicitud especialmente manipulada. Los productos y versiones afectados son los siguientes: ACERA 1320 firmware ver.01.26 y anteriores, ACERA 1310 firmware ver.01.26 y anteriores, ACERA 1210 firmware ver.02.36 y anteriores, ACERA 1150i firmware ver.01.35 y anteriores, ACERA 1150w firmware ver.01.35 y anteriores, firmware ACERA 1110 versión 01.76 y anteriores, firmware ACERA 1020 versión 01.86 y anteriores, firmware ACERA 1010 versión 01.86 y anteriores, firmware ACERA 950 versión 01.60 y anteriores, firmware ACERA 850F versión 01.60 y anteriores, ACERA 900 firmware versión 02.54 y anterior, firmware ACERA 850M versión 02.06 y anterior, firmware ACERA 810 versión 03.74 y anterior, y firmware ACERA 800ST versión 07.35 y anterior. Se ven afectados cuando se ejecutan en modo ST (Standalone).